Industrie 4.0: IT-Sicherheit als elementare Voraussetzung

Malte Pollmann fordert IT-Sicherheit für die komplette Wertschöpfungskette

[datensicherheit.de, 01.12.2014] Durch die Vernetzung von Industrieprozessen gibt es ein hohes Sicherheitsrisiko durch IT-Angriffe. Daher sollten Unternehmen schon frühzeitig Maßnahmen zum Schutz ihrer Anlagen ergreifen, wenn sie „Industrie 4.0“-Konzepte anwenden möchten.

Industrie 4.0 – das Konzept

„Industrie 4.0“ bezeichnet die vierte Industrielle Revolution, bei der Fabriken ihre Produktionsanlagen ins „Internet der Dinge“ einbinden. Ihr Ziel ist es, dass sie zu „Smart Factories“ werden und mit weniger Personal immer kürzere Produktzyklen und steigende Produktvarianten zu niedrigen Kosten realisieren können. Um diese Potenziale auszuschöpfen, sind allerdings erhebliche Investitionen erforderlich. Daher nimmt das Thema einen Spitzenplatz auf der Agenda der Chefs deutscher Industrieunternehmen ein. Eine Studie des IT-Verbandes BITKOM schätzt
das zusätzliche Wertschöpfungspotenzial von „Industrie 4.0“ allein für die Branchen wie Maschinenbau, Elektrotechnik, Automobilbau und chemischer Industrie auf 78 Milliarden Euro bis zum Jahr 2025.

IT-Sicherheit 1.0 für Industrie 4.0?

Geht es um die Einführung von „Industrie 4.0“-Konzepten, müsse auch die IT-Sicherheitsproblematik berücksichtigt werden – und das entlang der kompletten Wertschöpfungskette eines Produktes, betont Malte Pollmann, „CEO“ von Utimaco.
Das Thema Informationssicherheit sei eine grundlegende Herausforderung, da die hohe Flexibilität von „Industrie 4.0“ eine absolute Vernetzung verlange. Steuerungen müssten beispielsweise große Datenmengen verarbeiten und brauchten eine Vielzahl von offenen Schnittstellen für die Kommunikation mit der industriellen Umgebung.

Malte Pollmann, CEO Utimaco

Malte Pollmann: IT-Sicherheit für die komplette Wertschöpfungskette!

 Spezifische Sicherheitsrisiken

Aktuelle Erhebungen zur IT-Sicherheit in der Fabrikautomation, etwa durch den VDMA, zeigten, dass in etwa der Hälfte der Unternehmen des Maschinen- und Anlagenbaus hierfür einschlägige Standards bekannt seien, aber in nur einem Drittel der Unternehmen würden diese erst umgesetzt, so Pollmann. Gleichzeitig gäben 29 Prozent der Unternehmen an, selbst schon von Produktionsausfällen aufgrund von IT-Sicherheitsvorfällen betroffen gewesen zu sein.
IT-Security habe in der Vergangenheit eine untergeordnete Rolle gespielt, da oftmals davon ausgegangen worden sei, dass Fertigungsnetze nur in sehr geringer Form mit externen Netzen gekoppelt würden. In der Praxis jedoch zeige sich, dass viele Fabriknetze mit dem Internet verbunden seien. Dabei spielten zum Beispiel Fernwartungsanwendungen eine Rolle – und seit „Stuxnet“ sei es widerlegt, dass aufgrund von proprietären Systemen und Protokollen die Hürde für Angreifer hoch liegen würde.

Vernetzung von Office- und Fertigungs-IT

Um „Industrie 4.0“ vollständig integrieren zu können, müsse die organisatorische Trennung von Office- und Fertigungs-IT aufgehoben werden, betont Pollmann. Meist seien sensible Konstruktionsdaten von einem Ingenieur erarbeitet worden, die in der Fertigung oder in einem anderen Bereich verwendet würden.
Gezielte Angriffe erfolgten meist über einen Einstieg im Bürobereich. Von diesem Einstiegspunkt würden dann weitere Angriffe im Unternehmen durchgeführt, bis hin zu den Produktions- und Steuerungsanlagen. Eine Trennung der Sicherheitsmaßnahmen für verschiedene Unternehmensbereiche sei nicht erfolgreich, wenn die durchgängige Vernetzung des „Industrie 4.0“-Konzepts gewünscht ist. Angriffe könnten nur mit einem ganzheitlichen Ansatz verhindert werden. Aber es müsse auch die Frage erlaubt sein, ob Maschinen und Fertigungsanlagen, aber auch andere elektronische Geräte, immer mit dem Internet verbunden sein müssen. Es reiche ggf. aus, die Maschinen in einem abgesicherten, lokalen Netz zu kontrollieren.

Hardware-Sicherheitsmodule als Vertrauensanker

Kommunikationsprotokolle müssten laut Pollmann dafür ausgelegt sein, den Informationsfluss bestimmen zu können. Die Ende-zu-Ende-Verschlüsselung könne eine abhörsichere Verbindung realisieren. Die Identifikation der Kommunikationspartner und Produkte spielten dabei eine große Rolle. Eine entsprechende Sicherung der Daten und Transaktionen werde über asymmetrische, kryptografische Verfahren durchgeführt. Unabhängig ob elektronische Signaturen oder Verschlüsselung zum Einsatz kommt: Die gesicherte Generierung und Speicherung sowie dann im zweiten Schritt die Anwendungen der kryptographischen Schlüssel stünden immer im Vordergrund. An dieser Stelle kämen die unterschiedlichen Arten von Hardware-Sicherheitsmodulen zur Anwendung. Solche ermöglichten es, die kryptographischen Schlüssel gesichert vor dem Zugriff von unautorisierten Personen zu speichern und zur Anwendung zu bringen.

Noch viel Entwicklungsarbeit erforderlich

Bis das Konzept „Industrie 4.0“ funktionieren kann, sei noch viel Entwicklungsarbeit zu leisten, so Pollmanns Fazit. Schutz vor unerlaubtem Zugriff sowie Schutz vor Sabotage und vor unachtsamer Bedienung seien für Industrieunternehmen essenziell und überlebensnotwendig. Intelligente und nachhaltige IT-Sicherheitsmaßnahmen müssten während der Gestaltung des „Industrie 4.0“-Konzeptes eingeführt werden und nicht danach.

Weitere Informationen zum Thema:

datensicherheit.de, 29.09.2014
Industrie 4.0 Collaboration Lab am KIT eröffnet

datensicherheit.de, 08.09.2014
Fraunhofer SIT: Der Weg zur sicheren Industrie 4.0